セッションハイジャックは双方向通信の乗っ取り

手紙のやり取りをしているうちに、いつの間にか別人の書いた手紙が紛れ込んでいることに気が付かないで、そのまま重要な情報をその別人に伝えてしまう可能性はどれほどあるでしょうか?

当事者のことを、良く知っている第三者であれば、文章を書く際の癖なども知っている上に、宛先の住所は、特に秘密にする必要のない情報ですので、容易に調べることが可能です。

その状況で、似たような筆跡の手紙を送れば、もしかしたら相手を騙すことができるかも知れません。

しかし、インターネットなどのネットワーク回線を利用する通信手段が、一般的に利用されているのが現在の状況です。

そうなると、このような手口では、他人を騙すことはできないのではないか、と思っている人が、大多数ではないでしょうか?

ところが、そうではありません。

現在、一般的に利用されているインターネットの世界でも「セッションハイジャック」と呼ばれる手法で、当事者間の通信を乗っ取ることが十分可能なのです。

この手法でも、当事者のデータを送信する宛先に関する情報を、利用することによって情報を盗みだします。

 

セッションハイジャックとは?

セッションハイジャックとは、ネットワーク上の通信によってお互いの情報のやり取りを行っている場合に、その通信自体を、悪意を持った第三者が乗っ取ることによって、情報を流出させることです。

具体的には、本来は、このような乗っ取りを、防ぐために用意されているセッション管理のために、採用している「セッションID」と呼ばれている情報を悪利用します。

このセッションIDとは、複数のパソコン、スマートフォンなどの通信端末の間で、各種の通信のやり取り(セッション)を行う際に、それぞれの通信信号を送信するたびに独自に発行している認識番号です。

この認識番号(セッション番号)を発行することによって、返信されたデータの中に、同じ認識番号が含まれていれば、それが、間違いなく最初の通信に応答して、相手側から送信されたものである、と判断することができます。

ところが、その番号が、簡単に予想できるものであれば、容易に偽の応答信号を作成して、当事者の相互通信を乗っ取ることが可能となります。

ある程度複雑なルールに従ったセッション番号であっても、可能性のある番号を次々に書き込んで、偽の通信信号を送信すれば、いつかは該当してしまう可能性があります。

 

セッションハイジャックの対策

Web上のサービスを提供している側で、複数のルールを併用した、複雑なセッション番号を作成する必要があります。

また、一定時間の経過によって、現在のセッションを強制的に遮断して、新たなセッションを開始するような対応も有効です。

通信自体を暗号化することによっても、安全性を大幅に向上することが可能です。

インターネット上で、通信販売のような有料のサービスなどを提供する際には、ほとんどのWebサイトが、暗号化されているのは、通信の乗っ取りによって、顧客の情報が盗まれることを防ぐ効果も期待されているためです。

その他にも、そのサイトを運営する側のシステム変更により、一度ログインした後で、更に別のルールによる認証を行う方法、などを採用するのも有効です。

ここまでくると、一度接続すれば、ユーザーが利用を止めるまで、セッションが継続する形態はかなり危険なものであることが、分かるのではないでしょうか?

当事者にとって、多少、不便な環境こそ、実はセキュリティのレベルが高いものである、とも言えます。

 

セッションハイジャックの怖さ

このような脅威が怖いのは、知らない間に、悪意を持っている人が、通信を乗っ取るところです。

あるサイトにログインすると、知らない間に、自分には記憶のない買い物が、次々と行われることは非常に怖いことです。

これだけ、多数の人が利用しているインターネットの世界であっても、未だに、このような脅威が潜んでいることには驚きを覚えます。

これは、便利な機能であるが故に、その仕組みを熟知している人が、悪利用すると、容易には対抗することができない、と言うことでしょうか?

しかし、それに対抗する手段も複数存在していますので、サイトを運営する側の事業者によって、現在よりも、安全性の高いシステムを採用することが求められます。